Wie erkennt man auf einem Windows-System eine durch Ransomware verschlüsselte Datei?

**Eine von Ransomware verschlüsselte Datei erkennst du meist nicht an einem „magischen“ Einzelmerkmal, sondern an einer Kombination aus unlesbarem Inhalt, geänderter Dateiendung und plötzlich unbrauchbaren Dateien in vielen Ordnern.** ## Typische Anzeichen Ein sehr klares Signal ist, dass sich Dateien zwar noch öffnen lassen sollen, aber Programme melden, die Datei sei beschädigt oder habe ein falsches Format. Ein Word-Dokument, ein PDF oder ein Bild sieht dann für Windows noch wie eine Datei aus, der Inhalt ist aber kryptisch oder unbrauchbar. Ebenso auffällig ist eine geänderte oder angehängte Endung, etwa `foto.jpg.locked`, `rechnung.pdf.encrypted` oder eine völlig unbekannte Endung auf vielen Dateien gleichzeitig. Ransomware benennt Dateien oft massenhaft um, damit sofort sichtbar ist, dass der ursprüngliche Inhalt nicht mehr normal nutzbar ist. Ein weiteres starkes Indiz ist eine Lösegeldnotiz in betroffenen Ordnern, zum Beispiel als `README.txt`, `HOW_TO_DECRYPT.html` oder ähnlich. Wenn solche Dateien zusammen mit plötzlich unlesbaren Dokumenten auftauchen, ist die Wahrscheinlichkeit sehr hoch, dass es sich um einen Ransomware-Befall handelt. ## Woran du es technisch erkennst Verschlüsselte Dateien verlieren meist ihre typische Dateisignatur. Viele Dateitypen haben am Anfang feste Kennungen: PDF beginnt typischerweise mit `%PDF`, ZIP-basierte Office-Dateien mit `PK`, JPEG mit bestimmten Header-Bytes. Wenn diese Signatur fehlt und stattdessen nur zufällige Bytefolgen vorhanden sind, wurde die Datei sehr wahrscheinlich überschrieben oder verschlüsselt. Unter Windows kannst du das grob prüfen, indem du eine verdächtige Datei mit einem Hex-Editor öffnest. Wenn eine angebliche PDF-Datei nicht mit `%PDF` beginnt oder eine `.docx`-Datei nicht wie ein ZIP-Container aufgebaut ist, stimmt etwas nicht. Das beweist nicht jede einzelne Ransomware-Variante, ist aber ein sehr starkes technisches Indiz. ## Wichtiger Unterschied Nicht jede unlesbare Datei ist durch Ransomware verschlüsselt. Defekte Datenträger, abgebrochene Kopiervorgänge, fehlerhafte Synchronisation oder beschädigte Dateisysteme können ähnliche Symptome erzeugen. Der Unterschied ist das Muster: Ransomware betrifft typischerweise viele Dateien gleichzeitig, oft in mehreren Benutzerordnern, mit ähnlicher Umbenennung und zusätzlicher Lösegeldnotiz. Ein normaler Dateischaden tritt meist vereinzelt oder datenträgerbezogen auf. ## Praktisch die schnellste Prüfung Prüfe diese vier Punkte: - Öffnen plötzlich viele Dateien nicht mehr - Haben viele Dateien eine neue oder unbekannte Endung - Gibt es Text- oder HTML-Dateien mit Zahlungsanweisungen - Fehlen die normalen Dateikopf-Signaturen im Hex-Editor Wenn mehrere dieser Punkte gleichzeitig zutreffen, spricht das klar für Ransomware. ## Was daraus folgt Das Wichtigste ist dann nicht die einzelne Datei, sondern die sofortige Reaktion: Gerät vom Netzwerk trennen, keine Dateien weiter verändern, keine „Reparaturtools“ ausprobieren und möglichst ein sauberes Backup prüfen. Der größte Fehler ist, den Rechner weiterlaufen zu lassen, weil dadurch Netzlaufwerke, Freigaben oder weitere Dateien ebenfalls betroffen sein können.